Cette page a été traduite en utilisant l'IA et l'apprentissage automatique.

Si vous utilisez l'authentification à deux facteurs (également appelée 2FA) sur vos comptes en ligne, vous pouvez passer à une clé de sécurité matérielle à la place.

Lorsque 2FA est activé et que vous tentez de vous connecter à votre compte, comme Twitter, un code temporaire sera envoyé sur votre téléphone. Vous devez entrer ce code pour vous connecter à votre compte. Comme vous seul devriez avoir accès à votre téléphone/code (un facteur) et à vos identifiants de connexion (le deuxième facteur), deux facteurs vérifient essentiellement votre identité et s'assurent que vous vous connectez à votre compte.

Il y a des inconvénients à l'authentification à deux facteurs. Si vous perdez votre téléphone, ou s'il est violé par un pirate qui a échangé votre carte SIM ou a obtenu l'accès à votre appareil, il sera évidemment en mesure de récupérer votre code et potentiellement l'utiliser pour pirater votre compte (surtout s'il connaît également vos identifiants de connexion). Heureusement, une clé de sécurité peut vous aider à éviter ce cauchemar.

  • Que sont les appels robotisés et comment pouvez-vous les arrêter ?
Yubikey

Qu' est-ce qu'une clé de sécurité matérielle ?

Les clés de sécurité matérielle (également appelées clés de sécurité, clés U2F ou clés de sécurité physique) ajoutent une couche supplémentaire de sécurité à vos comptes en ligne. Ils protègent contre les robots automatisés et les attaques ciblées en tirant parti de la cryptographie pour vérifier votre identité et l'URL d'une page de connexion. Ils sont donc également résistants au phishing, car ils peuvent vérifier si vous essayez de vous connecter à un service légal.

Les clés de sécurité se connectent à votre appareil via USB-A, USB-C, Lightning, NFC et Bluetooth, et elles sont assez portables pour être transportées sur un trousseau. La plupart d'entre eux utilisent une norme d'authentification ouverte, appelée FIDO U2F (ou la norme FIDO2 améliorée), et certains comportent même du matériel conçu pour résister aux attaques physiques visant à extraire le firmware et le matériel de la clé elle-même.

Les clés de sécurité matérielles sont faites par divers fabricants et fonctionnent avec les navigateurs Web les plus populaires, ainsi que des centaines d'applications et de services en ligne. Ils peuvent même vous aider à vous connecter à votre poste de travail. Dans l'ensemble, ils ne sont pas difficiles à utiliser et sont relativement peu coûteux. Et toutes les autres formes d'authentification à deux facteurs (textes, applications d'authentification et notifications) n'offrent pas le même niveau de protection.

Thetis

Comment fonctionnent les clés de sécurité ?

Vous pouvez utiliser une clé de sécurité matérielle unique pour autant de comptes que vous le souhaitez. Généralement, vous insérez la clé de sécurité dans votre appareil (ou la connectez sans fil) et appuyez sur un bouton de la clé elle-même. La clé de sécurité sera alors présentée avec un défi par votre navigateur Web ou votre application. Il signera cryptographiquement ce défi, en vérifiant votre identité et tout ce que vous essayez d'accéder.

L' explication technique

  1. Votre clé de sécurité matérielle génère aléatoirement une paire de clés publique et privée.
  2. La clé privée ne quitte jamais votre clé de sécurité matérielle.
  3. Mais la clé publique sera envoyée à un serveur.
  4. Votre clé de sécurité matérielle enverra également un nombre aléatoire (appelé nonce), qui est utilisé pour générer vos clés, ainsi qu'un autre numéro (appelé checksum), qui sert à identifier votre clé de sécurité matérielle spécifique.
  5. Lorsque vous entrez vos identifiants de connexion dans un compte en ligne, le serveur renvoie ce nonce et cette somme de contrôle à votre clé de sécurité matérielle avec un numéro différent.
  6. La clé physique matérielle utilisera le nonce et la somme de contrôle pour régénérer sa clé privée, puis elle signera le numéro qui lui a été envoyé par le serveur, ce qui finit par vérifier et déverrouiller votre compte en ligne avec votre clé publique.

Tout ça a l'air compliqué. Mais cela se produit en arrière-plan sans aucune entrée de votre part, à part l'insertion de la clé de sécurité matérielle dans votre appareil. Les clés de sécurité matérielle utilisent également des domaines d'origine des sites pour générer leurs clés, ce qui signifie qu'elles ne peuvent pas être trompées par des sites de phishing.

Applications et appareils pris en charge

De nombreux comptes, applications, services et sites Web en ligne prennent en charge les clés de sécurité matérielle, y compris Twitter, Facebook, Google, Instagram, GitHub, Dropbox, Electronic Arts, Epic Games, les services de compte Microsoft, Nintendo, Okta et Reddit. La plupart des navigateurs Web le font aussi, comme Google Chrome.

Assurez-vous de faire votre recherche - vérifiez si vos comptes en ligne les plus utilisés et même si vos appareils prennent en charge les clés de sécurité avant d'investir dans un. Vous pouvez utiliser des clés de sécurité matérielles pour vous connecter à de nombreux ordinateurs et appareils mobiles, y compris les Mac, les Chromebooks, les PC Windows 10 et les appareils Android et iOS. La norme FIDO2 sur certaines clés de sécurité peut également fonctionner avec Windows Hello et le navigateur Edge de Microsoft.

Clés de sécurité perdues ou volées

Votre clé de sécurité matérielle fonctionne en plus des informations d'identification de connexion de votre compte. Donc, si quelqu'un vole votre clé, il ne peut pas accéder à vos comptes sans connaître vos identifiants. En outre, si vous avez perdu votre clé de sécurité, vous pouvez toujours recourir à une méthode de sauvegarde d'authentification à deux facteurs. Vous pouvez ensuite accéder à votre compte en ligne, supprimer votre clé de sécurité perdue ou volée, puis en ajouter une autre ou continuer à utiliser une méthode de sauvegarde.

Yubikey

Comment configurer une clé de sécurité

Toutes les clés de sécurité du matériel ont tendance à fonctionner de la même manière, comme nous l'avons expliqué ci-dessus, mais leur configuration varie selon l'application et l'appareil. Pour vous donner une idée de la façon dont on fonctionne avec un compte en ligne, nous avons détaillé les étapes précises pour jumeler une clé de sécurité à Facebook et se connecter à votre compte.

Utilisation d'une clé de sécurité matérielle avec Facebook

  1. Connectez-vous à votre compte Facebook.
  2. Cliquez sur l'icône du menu déroulant dans le coin et sélectionnez Paramètres.
  3. Maintenant, vous êtes dans Paramètres généraux du compte.
  4. Sélectionnez le lien Sécurité et connexion » dans la barre latérale gauche.
  5. Faites défiler vers le bas jusqu'à ce que la section intitulée Authentification à deux facteurs s'affiche.
  6. Cliquez sur Modifier dans l'option Utiliser l'authentification à deux facteurs.
  7. Cliquez sur Get Started pour configurer un message texte ou une application d'authentification.
  8. Revenez à Authentification à deux facteurs et faites défiler la page vers le bas jusqu'à Ajouter une sauvegarde.
  9. Sélectionnez Configuration pour l'option Clé de sécurité.
  10. Entrez votre mot de passe Facebook et cliquez sur Soumettre.
  11. Connectez votre clé de sécurité (généralement en l'insérant dans le port USB).
  12. Appuyez sur le bouton de la touche.
  13. Vous devriez obtenir une fenêtre contextuelle de confirmation.
Google

Quelle clé de sécurité matérielle est la meilleure ?

Il y a plusieurs choix à choisir. Yubico, qui aide à développer est la norme d'authentification FIDO U2F, est l'une des options les plus populaires et dispose de différents modèles disponibles. Google vend sa propre clé, appelée Titan, et il comprend une clé de rechange avec fonctionnalité Bluetooth. D'autres fabricants de clés de sécurité comprennent Kensington et Thetis.

Voici notre choix parmi les meilleurs que vous pouvez acheter :